Indsigelse mod at hæfte for 8.000 DKK af korttransaktion godkendt i MitID.

Sagsnummer:8/2024
Dato:19-08-2024
Ankenævn:Vibeke Rønne, Mette Lindekvist Højsgaard, Jimmy Bak, Morten Bruun Pedersen og Ann-Mari Agerlin.
Klageemne:Betalingstjenester - Spørgsmål om groft uforsvarlig adfærd
Betalingstjenester - ikke-vedkendte hævninger
Afvisning - bevis § 5, stk. 3, nr. 4
Ledetekst:Indsigelse mod at hæfte for 8.000 DKK af korttransaktion godkendt i MitID.
Indklagede:Nordea Danmark
Øvrige oplysninger:
Senere dom:
Pengeinstitutter

Indledning

Sagen vedrører indsigelse mod at hæfte for 8.000 DKK af korttransaktion godkendt i MitID.

Sagens omstændigheder

Klageren var kunde i Nordea Danmark, hvor han havde et Visa/dankort -5122.

Den 7. februar 2023 blev der med klagerens Visa/dankort foretaget en kortbetaling på 2.154,87 EUR til en betalingsmodtager, E. Klageren kan ikke vedkende sig betalingen.

Banken har oplyst, at betalingen blev godkendt med stærk kundeautentifikation i klagerens MitID-app, der var installeret på klagerens enhed den 2. april 2022. Banken har fremlagt uddrag af klagerens MitID log. Banken har endvidere fremlagt en udskrift fra Nets med teksten, der blev sendt til MitID-app i forbindelse med godkendelsen. Af teksten fremgik:

”Betal 2154,87 EUR til [E] fra kort xx5122.”

Banken har oplyst, at transaktionen var korrekt registreret og bogført, og at betalingen ikke var ramt af tekniske svigt eller andre fejl.

Banken har endvidere oplyst, at betalingen blev godkendt som én transaktion i klagerens Mit-ID-app, men at forretningen trak betalingen i to dele på henholdsvis 654,88 EUR, svarende til 4.924,09 DKK og 1.499 EUR svarende til 11.278,54 DKK, og at begge dele blev gennemført med sikkerhedsløsningen 3D Secure og blev godkendt med stærk kundeautentifikation. Af en transaktionsliste fra Nets fremgår det, at betalingen ved bogføring var opdelt i to dele på henholdsvis 654,88 EUR og 1.499 EUR, som begge dele blev gennemført med sikkerhedsløsningen 3D Secure.

Klageren har anført, at han ikke har godkendt betalingen/betalingerne, som han ikke har noget kendskab til.

Den 10. februar 2023 blev klagerens Visa/dankort spærret af Nets.

Den 15. februar 2023 gjorde klageren indsigelse mod betalingerne på 654,88 EUR og 1.499 EUR over for banken. I forbindelse med indsigelsen anførte klageren blandt andet, at han ikke kendte noget til betalingerne, at han ikke havde godkendt noget med MitID den 7. februar 2023, og at han ikke havde modtaget mails, SMS’er eller opkald om at give oplysninger, opdatere oplysninger, betale porto mv.

Banken godtgjorde klagerens tab fratrukket 8.000 DKK svarende til 8.202,63 DKK.

Parternes påstande

Den 6. januar 2024 har klageren indbragt sagen for Ankenævnet med påstand om, at Nordea Danmark skal tilbageføre 8.000 DKK til ham.

Nordea Danmark har nedlagt påstand om frifindelse.

Parternes argumenter

Klageren har anført, at han ikke har godkendt de to transaktioner i EUR. Han har ikke på nogen måde været involveret i hverken købet i EUR eller i godkendelsen i MitID-appen.

Han handler aldrig på nettet, hvilket også fremgår af alle hans kontoudskrifter. Det fremgår heraf, at han kun bruger sit kort i fysiske butikker i Danmark og aldrig på internettet.

Det undrer ham, at der i det tidsrum på ca. et kvarter, hvor godkendelserne har fundet sted, var ti bevægelser på hans MitID. En af dem var kl. 15.15, hvor der står: godkendelse - logget på ny tjeneste med mit MitID for allerede pålogget identitet. Det må være der, hvor hackeren er lykkedes med at godkende beløbene.

Banken har anført, at hans enhed er aktiveret den 2. april 2022, hvorfor han selv har foretaget godkendelse af betalingerne. Han forstår ikke, hvordan de to ting hænger sammen.

Banken skriver også, at selve godkendelsen af betalingerne i MitID-appen er groft uforsvarlig adfærd fra hans side. Han har ikke på nogen måde optrådt uansvarligt eller uforsvarligt. Banken har tidligere erkendt, at han har været udsat for svindel. Han er hverken blevet ringet op, fået SMS eller mail, hvor han skulle give personlige oplysninger, eller på anden vis blevet kontaktet. Han er meget uforstående over, hvordan det kan ske. Der må være en brist i et eller andet system.

Han bruger kun computer, når hans kone er i nærheden.

Han brugte slet ikke sin telefon 7. februar 2023. Han var nødsaget til at få en ny telefon, da den kun virkede, når han var i huset. Han var hos sit telefonselskab, hvor en medarbejder kiggede på telefonen. Medarbejderen sagde, at telefonen var blevet hacket, og at det var bedst at købe en ny telefon og få et nyt telefonnummer, hvilket han valgte at gøre. Det er således højst tænkeligt, at det er i forbindelse med, at hans tidligere telefon har været hacket, at der også blev begået svindel på hans Visa/dankort.

Nordea Danmark har anført, at betalingen på 2.154,87 EUR (16.202,63 DKK) er korrekt registreret, bogført og i øvrigt ikke fejlbehæftet.

Betalingen blev godkendt som én transaktion i klagerens MitID-app, men forretningen trak betalingen i to dele på henholdsvis 654,88 EUR og 1.499 EUR.

Klageren har godkendt betalingen via MitID-app med sin egen enhed. Der kan i klagerens MitID log ses, at det er klagerens identifikationsmiddel, der godkender betalingen til E. Klagerens enhed er aktiveret den 2. april 2022, hvorfor klageren selv har foretaget godkendelsen af betalingen.

Når klageren valgte at godkende et beløb på 2.154,87 EUR (16.202,63 DKK), så var selve godkendelsen i MitID-appen groft uforsvarlig adfærd fra klagerens side, hvorfor banken var berettiget til at tage en selvrisiko på 8.000 DKK, jf. betalingsloven § 100, stk. 4, nr. 3.

Banken kunne have besluttet, at klageren skulle hæfte for det fulde beløb, jf. betalingslovens § 100, stk. 5 og ankenævnssag 17/2020, men da banken i sin indsigelsesbehandling har valgt, at klageren kun skulle hæfte for 8.000 DKK, ændrer indbringelse af sagen for Ankenævnet ikke herpå.

Ankenævnets bemærkninger

Klageren var kunde i Nordea Danmark, hvor han havde en konto og et Visa/Dankort.

Den 7. februar 2023 blev der med klagerens Visa/dankort foretaget en kortbetaling på 2.154,87 EUR til en betalingsmodtager, E. Klageren kan ikke vedkende sig betalingen.

Klageren har anført, at han ikke har godkendt betalingen, og at han ikke har noget kendskab til den.

Banken har oplyst, at betalingen blev godkendt som én transaktion i klagerens MitID-app, men at forretningen trak betalingen i to dele på henholdsvis 654,88 EUR, svarende til 4.924,09 DKK og 1.499 EUR svarende til 11.278,54 DKK, og at begge dele blev gennemført med sikkerhedsløsningen 3D Secure og blev godkendt med stærk kundeautentifikation.

Banken har dækket klagerens tab med fradrag af 8.000 DKK.

Ankenævnet lægger til grund, at betalingstransaktionen er korrekt registreret og bogført og ikke ramt af tekniske svigt eller andre fejl, jf. betalingslovens § 98. Efter bestemmelsens stk. 2 er registrering af brug af et betalingsinstrument ikke i sig selv bevis for, at betaleren har godkendt transaktionen, at betaleren har handlet svigagtigt, eller at betaleren har undladt at opfylde sine forpligtelser, jf. betalingslovens § 93.

Ankenævnet lægger til grund, at transaktionen skyldtes tredjemands uberettigede anvendelse af klagerens betalingstjeneste.

Ankenævnet finder, at klagerens MitID var en personlig sikkerhedsforanstaltning, jf. lov om betalinger § 7, nr. 31. Ved transaktionen blev der anvendt stærk kundeautentifikation, jf. lov om betalinger § 7, nr. 30.

Efter lov om betalinger § 100, stk. 4, hæfter betaleren med op til 8.000 DKK af tabet som følge af andres uberettigede anvendelse, hvis betalerens udbyder godtgør, at betaleren med forsæt har overgivet den personlige sikkerhedsforanstaltning til den, der har foretaget den uberettigede anvendelse, uden at forholdet er omfattet af stk. 5 (§ 100, stk. 4, nr. 2), eller at betaleren ved groft uforsvarlig adfærd har muliggjort den uberettigede anvendelse (§ 100, stk. 4, nr. 3).

Ankenævnet finder, at det på det foreliggende grundlag ikke er muligt at afgøre, om der foreligger misbrug under sådanne omstændigheder, at klageren hæfter for 8.000 DKK af tabet, jf. betalingslovens § 100, stk. 4. Ankenævnet finder, at en stillingtagen hertil forudsætter yderligere bevisførelse i form af parts- og vidneforklaringer, der ikke kan ske for Ankenævnet, men i givet fald må finde sted ved domstolene. Ankenævnet afviser derfor sagen, jf. Ankenævnets vedtægter § 5, stk. 3, nr. 4.

Ankenævnets afgørelse

Ankenævnet kan ikke behandle klagen.

Klageren får klagegebyret tilbage.